Cilium

サポート対象

NRIのOpenStandiaが提供するCilium詳細情報

バージョンアップ情報
Cilium情報

バージョンアップ情報

Cilium情報

Cilium情報更新日:2025/05/13

Ciliumとは
主な機能
主な特徴
動作環境
Ciliumのライセンス
参考情報
オープンソース年間サポートサービス

Ciliumとは

Ciliumは、カーネル技術eBPFを利用した、コンテナワークロード間のネットワーク接続を提供、保護、監視するためのクラウドネイティブなオープンソースソフトウェアです。

Ciliumは2021年10月13日にCloud Native Computing Foundation(CNCF)に参加し、Graduated projectとして認定されています。

主な機能

APIの透過的な保護	CiliumはREST/HTTP、gRPC、Apache Kafkaなどのアプリケーションプロトコルを保護します。従来のファイアウォールはネットワーク層やトランスポート層で動作し、特定のポートで実行されるプロトコルに対し、全て許可または拒否のどちらかを行います。それに対し、Ciliumは個々のアプリケーションプロトコルリクエスト毎に許可または拒否を行うことができます。
IDに基づいたセキュアなサービス間通信	現代の分散型アプリケーションは、アプリケーションコンテナのような技術に依存しており、短時間に大量のコンテナが起動します。そのため、送信元IPアドレスと送信先ポートをフィルタリングする従来のファイアウォールでは、コンテナが起動するたびに全サーバ上のファイアウォールを操作する必要があり、アプリケーションの規模が制限されていました。このような状況を回避するため、Ciliumは同一のセキュリティポリシーを共有するアプリケーションコンテナのグループにIDを割り当てます。このIDはアプリケーションコンテナから送信される全てのネットワークパケットに関連付けられ、受信ノードでIDの検証を行うことができます。また、IDの管理はKey-Value storeを通して行われます。
外部サービスとのセキュアな接続	ラベルベースのセキュリティは、クラスタ内部のアクセス制御のために選択されたツールです。外部サービスとのアクセスを保護するために、イングレスとエグレスの両方で従来のCIDRベースのセキュリティポリシーがサポートされています。これにより、アプリケーションコンテナへのアクセスやアプリケーションコンテナからのアクセスを特定のIP範囲に制限することができます。
シンプルなネットワーキング	複数のクラスタにまたがるレイヤー3ネットワークが全てのアプリケーションコンテナを接続します。IPの割り当てはホストのスコープアロケータを使用することで各ホストがホスト間の調整なしに行うことができるようになっています。また、以下のマルチノードネットワーキングモデルがサポートされています。オーバーレイ全てのホストにまたがるカプセル化ベースの仮想ネットワークです。現在、VXLANとGeneveが組み込まれていますが、Linuxでサポートされている全てのカプセル化形式を有効にすることができます。ネイティブルーティング Linuxホストの通常のルーティングテーブルを使用します。ネットワークにアプリケーションコンテナのIPアドレスをルーティングする機能が必要になります。
ロードバランサー	Ciliumは、アプリケーションコンテナ間や外部サービスへのトラフィックの分散ロードバランシングを実装しており、kube-proxyのようなコンポーネントを完全に置き換えることが可能です。ロードバランサーは、効率的なハッシュテーブルを使用してeBPFに実装されており、ほぼ無制限に拡張することができます。 North-South型のロードバランシングの場合、CiliumのeBPF実装は最大のパフォーマンスを得るために最適化されており、XDP（eXpress Data Path）に接続でき、負荷分散のオペレーションがソースホスト上で行われない場合はDSR（Direct Server Return）およびMaglev consistent hashingもサポートします。 East-West型のロードバランシングでは、Ciliumは、Linux カーネルのソケット層でサービスからバックエンド変換を効率的に行い、下位層でのパケットごとのNAT操作のオーバーヘッドを回避できます。
帯域幅の管理	Cilium は、ノードから出るコンテナトラフィックに対して、eBPF による効率的な EDT（Earliest Departure Time）ベースのレート制限による帯域幅の管理を実装しています。これにより、帯域幅CNIプラグインで使用されているHTB（Hierarchy Token Bucket）やTBF（Token Bucket Filter）などの従来のアプローチと比較して、アプリケーションの送信テール遅延を大幅に短縮し、マルチキューNICでのロックを回避することができます。
モニタリングとトラブルシューティング	Ciliumでは問題をモニタリングし、トラブルシューティングするためのツールとして以下のようなツールを提供しています。メタデータによるイベントモニタリングパケットがドロップされたとき、ツールはパケットの送信元と送信先のIPを報告するだけでなく、他の多くの情報の中で送信者と受信者の両方の完全なラベル情報を提供します。 Prometheus経由のメトリックスエクスポート主要なメトリクスはPrometheus経由でエクスポートされ、既存のダッシュボードに統合することができます。 Hubble Cilium専用に開発された可観測性を実現するプラットフォームです。サービスの依存関係マップ、運用監視とアラート、フローログに基づくアプリケーションとセキュリティの可視化などを提供します。

主な特徴

Ciliumには次のような特徴があります。

eBPFとXDPを活用した堅牢なロードバランシング
高度なコントロールプレーンにより大規模なKubernetesクラスタで動作
複数クラスタにまたがるゾーンを使用したシンプルなクラスタ間接続を実現
Hubbleフレームワークを使用したコンテキストやプロトコルの可視化
IPsec機能を使用した透過的な暗号化
IDを認識したログとコンテキストによる長期的なフォレンジック調査が可能

動作環境

コンテナイメージを使用して Cilium を実行する場合
AMD64またはAArch64アーキテクチャのホスト
Linux kernel：5.4 以上か同等
ホスト上で Cilium をネイティブプロセスとして実行する場合(コンテナイメージを使用しない場合)
clang+LLVM：18.1以上
eBPF テンプレートパッチを適用したiproute2
Kubernetes なしで Cilium を実行する場合
次の追加要件を満たす必要があります。
Key-Value store etcd：3.1.0以上

各Linuxディストリビューションの互換性

ディストリビューション	最小バージョン
Amazon Linux 2	All
Bottlerockeｔ OS	All
CentOS	8.6以上
Container-Optimized OS	85以上
Debian	10Buster以上
Fedora Atomic/CoreOS	31.20200108.3.0以上
Flatcar	All
LinuxKit	All
openSUSE	Leap 15.4以上、Tumbleweed
RedHat Enterprise Linux	8.6以上
RedHat CoreOS	4.12以上
Talos Linux	1.5.0以上
Ubuntu	20.04以上